Comparac¸˜ao dos resultados com a severidade das vulnerabilidades

Os testes de seguranc¸a executados no Grupo EDP s˜ao contratados a uma empresa externa e a classificac¸˜ao das vulnerabilidades s˜ao definidas pela mesma. Esta classificac¸˜ao ´e qua- litativa e os crit´erios para a avaliac¸˜ao das vulnerabilidades n˜ao ´e publicamente conhecida. Os n´ıveis de classificac¸˜ao atribu´ıdos `as vulnerabilidades do Grupo EDP s˜ao os seguintes:

1. Critical 2. High 3. Medium 4. Low 5. Info

As 200 vulnerabilidades avaliadas pelo sistema de avaliac¸˜ao de vulnerabilidades esta- vam classificadas por esta empresa com os primeiros trˆes n´ıveis de severidade, sendo estes o Critical, High e Medium, com uma percentagem de 45%, 44% e 11% respetivamente (Figura 4.9). No entanto, utilizando a norma, nenhuma desta vulnerabilidades pertence ao n´ıvel m´edio, sendo que 50% das vulnerabilidades pertencem ao n´ıvel cr´ıtico e 50% ao n´ıvel alto (Figura 4.10).

Na reavaliac¸˜ao, as vulnerabilidades sofreram alterac¸˜oes relativamente aos valores quan- titativos e qualitativos e por este motivo 7% (Figura 4.11) das 200 vulnerabilidades comec¸a- ram a pertencer ao n´ıvel de classificac¸˜ao m´edio, menos 4% que o valor atribu´ıdo pelo fornecedor. Contudo, a percentagem de vulnerabilidades consideradas cr´ıticas pelo for- necedor ´e maior que na reavaliac¸˜ao, dado que pelos resultados apenas 27% das vulnera- bilidades s˜ao cr´ıticas. ´E poss´ıvel verificar que a maioria das vulnerabilidades s˜ao clas- sificadas como altas, com 66%, todavia como uma das vantagens do CVSS ´e a possibi- lidade de as classificar quantitativamente, o facto de existirem em maior quantidade na

Figura 4.9: Percentagem de vulnerabilidade por cada n´ıvel de severidade - Empresa ex- terna

Figura 4.10: Percentagem de vulnerabilidade por cada n´ıvel de severidade - CVSS classificac¸˜ao alta, n˜ao acrescenta complexidade na priorizac¸˜ao das vulnerabilidades, dado que possu´ımos os valores quantitativos e estes encontram-se bem distribu´ıdos como j´a

apresentado anteriormente.

Figura 4.11: Percentagem de colis˜oes por classificac¸˜ao - ap´os reavaliac¸˜ao

Em conclus˜ao, verificou-se que com a extens˜ao de melhoria ao CVSS vers˜ao 3 ´e poss´ıvel reduzir as colis˜oes em valores com uma grande quantidade de colis˜oes e tamb´em reduzir a severidade das vulnerabilidades. Desta forma, comprovou-se que esta proposta cumpre os objetivos delineados inicialmente, considerando que foi poss´ıvel diminuir o n´umero de vulnerabilidades nas classificac¸˜oes cr´ıtica e alta e obteve-se uma distribuic¸˜ao mais homog´enea de valores em toda a escala, como exposto no presente cap´ıtulo.

4.3 Resumo

Neste cap´ıtulo foi apresentado a metodologia utilizada para avaliac¸˜ao da extens˜ao pro- posta usando amostras de vulnerabilidades do NVD e Grupo EDP. No caso do NVD, esta avaliac¸˜ao foi efetuada a 200 vulnerabilidades, 100 correspondentes `a classificac¸˜ao cr´ıtica e 100 referentes `a classificac¸˜ao alta. Estas vulnerabilidades foram reavaliadas conside- rando os novos valores propostos, muito-baixo e m´edio. As vulnerabilidades do Grupo EDP foram avaliadas primeiramente com os valores por omiss˜ao do CVSS e posterior- mente reavaliadas com a extens˜ao de melhoria proposta.

Na reavaliac¸˜ao das vulnerabilidades publicadas no NVD com a classificac¸˜ao do CVSS comprovou-se que ´e poss´ıvel reduzir a quantidade de colis˜oes em classificac¸˜oes quantita- tivas com elevadas colis˜oes, como no caso do valor 9.8, que tinha 95% de colis˜oes e ap´os a reavaliac¸˜ao passou a ter 63%. Isto deve-se tamb´em ao valor 9.5, que ficou com 5% das

vulnerabilidades classificadas com 9.8. Dado que o valor 9.5 n˜ao se obtinha na avaliac¸˜ao das vulnerabilidades com os valores por omiss˜ao constata-se a importˆancia da obtenc¸˜ao do maior n´umero poss´ıvel de valores na escala, sem este valor ter´ıamos mais colis˜oes no valor 9.8. Tamb´em se verificou uma reduc¸˜ao de vulnerabilidades na classificac¸˜ao cr´ıtica e alta, dado que com a inserc¸˜ao dos novos valores foi poss´ıvel passar algumas vulnerabi- lidades de severidade cr´ıtica para alta e de alta para m´edia.

Na validac¸˜ao das 200 vulnerabilidades no Grupo EDP, tamb´em se identificou me- lhorias tanto na reduc¸˜ao de colis˜oes por classificac¸˜ao quantitativa como qualitativa. Em comparac¸˜ao com as classificac¸˜oes atribu´ıdas pela empresa de execuc¸˜ao de testes de segu- ranc¸a verificou-se uma grande discrepˆancia nas classificac¸˜oes comparativamente ao atual sistema de avaliac¸˜ao de vulnerabilidades CVSS. Posto isto, a adoc¸˜ao de uma diferente me- todologia para avaliac¸˜ao das vulnerabilidades e tendo como pressuposto que n˜ao existe conhecimento do neg´ocio da empresa e n´ıvel de criticidade dos ativos, ´e expet´avel que estes valores n˜ao estejam alinhados com o CVSS. N˜ao obstante, ´e uma boa pr´atica a adoc¸˜ao de uma norma utilizada por enumeras entidades dado que assim ´e mais f´acil a comunicac¸˜ao entre as partes.

Conclus˜ao e Trabalho futuro

5.1 Conclus˜ao

Neste trabalho foi apresentado o CVSS, o sistema de avaliac¸˜ao da severidade das vulne- rabilidades mais conhecido e adotado por v´arias entidades reputadas. Foram identificados alguns problemas na vers˜ao 3, relativos `a grande quantidade de classificac¸˜oes cr´ıtica e alta e pouca diversidade de valores. Como tal, foi proposta uma extens˜ao de melhoria ao CVSS vers˜ao 3, com o objetivo de reduzir o n´umero de vulnerabilidades nas classificac¸˜oes alta e cr´ıtica e aumentar a diversidade de valores. Atrav´es da avaliac¸˜ao da soluc¸˜ao pro- posta, considerando 400 vulnerabilidades, 200 do NVD e 200 do Grupo EDP, comprovou- se que os crit´erios definidos inicialmente foram cumpridos, visto que houve um acr´escimo de valores poss´ıveis na escala [0,10] e devido a este facto existiu uma reduc¸˜ao de colis˜oes em cada classificac¸˜ao dado o aumento na quantidade de possibilidades. Para al´em do exposto anteriormente, verificou-se uma reduc¸˜ao significativa no n´umero de vulnerabili- dades nas classificac¸˜oes cr´ıtica e alta, o que est´a em conformidade com o segundo crit´erio definido.